Чи повинні сервери основних систем мати можливість підключатися до Інтернету для обслуговування / підтримки?


18

Кілька наших серверів мають ліцензії на обслуговування Oracle. Наш постачальник апаратних засобів запитав, чи є підключення до Інтернету в серверній кімнаті. Наша політика полягає в тому, що всі машини в цій кімнаті з міркувань безпеки є ізольованими від Інтернету. Але хлопець з питань технічного обслуговування запитав: "то як же ми зможемо виконувати роботи з обслуговування на ваших серверах?"

Моє запитання: чи потрібні наші сервери підключення до Інтернету для того, щоб технічне обслуговування здійснювалося як система підтвердження ліцензій. Або він може це робити офлайн? Чи не є це ризиком саме по собі, якщо до нашого виробничого сервера було підключення до Інтернету?


Ух, справді гарне запитання! +1
l0c0b0x

Відповіді:


9

Зазвичай вам потрібно завантажити патчі з Інтернету, а потім застосувати їх до сервера. Однак розумним є проміжний крок копіювання патчів у проміжне місце (навіть DVD) для проходження між Інтернетом та серверами баз даних.

Якщо вони просто хочуть окрему машину в серверній кімнаті, яка може підключитися до Інтернету (наприклад, для читання патч-приміток), це інший варіант.

Нарешті, є різниця між тим, що на сервері працює браузер, який може підключатися до Інтернету, і мати сервер, доступний як сервер з Інтернету.

Все залежить від того, наскільки безпечним ви хочете / потребуєте бути.


11

Ваші сервери підключені до мережі, яка має інші пристрої з доступом до Інтернету. Правильно? Я впевнений, що інші не погоджуватимуться, але я вважаю, що безпека, що не дає цим серверам прямого доступу до Інтернету, є більш ілюзорною, ніж будь-що інше.


7
+1 - Якщо немає на насправді повітряний зазор між «ядром» і іншою частиною мережі (яка , здавалося б поразка мети мати мережу в першу чергу) «ядро» є «підключений до Інтернету». Такий connecection повинен бути арбітражні брандмауерами, списками доступу і т.д., але IS «підключений до Інтернету». Сказавши це, справжня дискусія тут повинна полягати в арбітражному доступі до тих серверів та використаних механізмах і правил, пов'язаних з налаштуванням цих механізмів.
Еван Андерсон

Приємна відповідь :-)
MN

3
Компанія параноїдає щодо безпеки. Власне, між основною мережею та рештою офісу існує фактичний розрив. Машини в основній мережі смішно відключаються від Інтернету. Деякі люди навіть мають 2 комп’ютери на своїх столах; 1 для регулярного використання, інший із підключенням до основної системи.
Людві

3

Ми проводимо велике обслуговування на серверах клієнтів, які не мають доступу до Інтернету. Ми повинні взяти всі необхідні оновлення / патчі / програмне забезпечення для цього візиту на CD / USB Stick. (Дозволити третім сторонам приносити USB-накопичувачі / компакт-диски - це ризик для безпеки)


Помічено! Ось чому ми робимо офлайн-сканування сторонніх засобів масової інформації, перш ніж дозволити їх включити в основне середовище.
Людві

3

Ви завжди можете використовувати iptables для налаштування точного IP / джерела призначення: Пари портів, які ви хочете залишати відкритими.

Таким чином, навіть коли сервер експлуатується через WAN, ви можете гарантувати, що доступ до нього отримають лише надійні IP-адреси + правильні облікові дані.

Крім того, ви можете також використовувати приватну публічну пару ключів ssh , якими можна ділитися лише між вами.


2

Усі ваші сервери повинні знаходитись або в DMZ, або принаймні за брандмауером. Практично будь-який брандмауер можна налаштувати, щоб дозволити вихідні з'єднання з будь-якого з цих серверів (щоб вони могли самостійно перевіряти та завантажувати патчі безпеки та інші оновлення). І тоді ваш адміністратор системи повинен налаштувати брандмауер таким чином, щоб було дозволено кілька дуже конкретних вхідних з'єднань. Якщо вони потрібні лише для епізодичного обслуговування, їх можна буде відключити, як тільки технічне обслуговування закінчиться.

Для цієї роботи ми використовуємо шлюзи Linux, з iptables для брандмауера. Однак ваш стандартний апаратний брандмауер зробить точно так само.


2

Питання полягає в тому, - чи є ризик дозволити виробничим серверам мати HTTP / S підключення до Інтернету. Коротка відповідь - НІ. Чим довше відповідь, що ризик безпеки настільки мінімальний, що переважає вартість (за часом) для управління цими серверами.

Розглянемо ризики надання доступу:

  1. Адміністратор завантажує шкідливе програмне забезпечення з Інтернету на сервер
  2. Компрометований сервер завантажує додатковий код вірусу або завантажує конфіденційну інформацію в Інтернет

Перший момент він пом'якшив, обмеживши доступ до Інтернету до відомих сайтів, і в ідеалі взагалі не дозволив перегляд веб-сторінок. Крім того, у ваших адміністраторів є певна довіра не діяти зловмисно.

З другого пункту, якщо врахувати, що сервер був певним чином порушений, то чи є доступ до Інтернету, це суперечка. Зловмисник вже знайшов спосіб отримати код у вашій системі, а це означає, що вони можуть отримати додатковий код до цієї системи або отримати дані з неї.

Очевидно, це все може залежати від конкретних обставин (наприклад, задоволення певних вимог замовника чи нормативних вимог).


0

Який тип підключення потрібні цим серверам?

Якщо це лише з'єднання HTTP з веб-сайтом Oracle, чому б вам не змусити їх використовувати веб-проксі?



0

відповідь №1 найкраща в теоретичному плані - рівень безпеки мережі дорівнює рівню безпеки найслабшого комп’ютера, підключеного до цієї мережі

на мою точку зору, підхід був би таким:

  • внутрішня мережа розбита в підмережах dot1q
  • Linux шлюз -> весь трафік між підмережами проходить через нього, і ним можна легко керувати (і насправді це, з доступом до основних серверів лише для необхідних портів додатків та клієнтів)
  • зовнішнє з'єднання, що здійснюється тільки через зашифрований vpn (pptp з mschap або openvpn)
  • основні сервери мають доступ до Інтернету лише на основі "необхідності" (maintenante, завантаження оновлень тощо) - також доступ до них загрожує через шлюз - з політикою DROP

-4

Навіть якщо ви дозволите підключення до Інтернету для деяких серверів, нехай вони використовують OpenDNS в якості свого DNS-сервера.


2
WTF? Як це взагалі актуально?
ceejayoz

@ceejayoz згідно з цим сервером default.com/questions/6569/…
adopilot

Чи не повинні вони використовувати внутрішні сервери DNS, які, в свою чергу, можуть використовувати сервери openDNS? Таким чином, вам не потрібно призначати всі з'єднання між вашими основними серверами з IP-адресами, і ви можете використовувати замість DNS-імена.
MrTimpi

Так, якщо у них внутрішній DNS
adopilot
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.